4D Wand info 433

GDPR
naš laički osvrt (početna pomoć korisnicima)

Nadamo se da je odmah na početku jasno da tvrtka 4th Dimension d.o.o. i naše programsko rješenje 4D Wand u biti nema nikakve veze s GDPR-om.

Nekoliko korisnika nas je nazvalo i pitalo što smo pripremili za nastupajući GDPR, tj. što smo pripremili za zaštitu osobnih podataka?! Ostali smo totalno zbunjeni jer mi smo izučili vrlo precizno GDRP još davne 2010. godine, jednako kao i 2016. i nismo niti jednog trenutka pomislili da nešto treba pripremiti u 4D Wandu, a kamoli da smo nešto i isprogramirali. S obzirom na to da se datum primjene nove Uredbe bliži (25.05.2018.), želimo s jedne strane zaustaviti nepotrebna pitanja, a s druge strane, ako netko ima nekakav mudar prijedlog da isprogramiramo nešto u 4D Wandu , rado bismo prijedlog razmotrili. Ali, molimo vas da nam šaljete mudre prijedloge na osnovu pročitane i kvalitetno analizirane Uredbe sa svim pripadajućim zakonima, a ne da nam šaljete prijedloge koje će nam isključivo trošiti dragocjeno vrijeme. Na primjer, jedan vrijedan korisnik je dao dva prijedloga. Oba su na prvi pogled interesantna i sada procjenjujemo da li ih programirati ili ne...

Kao prvo, želimo jasno napomenuti da je sve što je napisano u ovom 4D Wand Info-u samo naš interni stav, naše osobno shvaćanje GDPR-a. Nismo država, nismo pravnici, nismo ni neko Ministarstvo, a nismo ni Agencija za zaštitu osobnih podataka (dalje AZOP). Dakle, odričemo se od bilo kakve odgovornosti. Ovo je naša pomoć, eventualno smjer koji treba primijeniti bilo koja tvrtka kako bi ispoštovala Uredbu. Ako smo nešto pogrešno protumačili, unaprijed se ispričavamo, ali isto ne nosi nikakvu našu odgovornost.

Mi smo dobili vrlo interesantne dokumente koje je objavio HUP – Hrvatska udruga poslodavaca za GDPR. Nismo sigurni da li ih smijemo distribuirati, pa u ovom 4D Wand Info-u navodimo da ne bi bilo loše da bilo tko dođe do istih. Autor dokumenata je gospođa Sanja Silaj Zeman, načelnica službe AZOP-a za međunarodnu suradnju, EU i pravne poslove. Sažeci su izvrsni i smatramo da bi ih svaki obveznik GDPR-a trebao pažljivo izučiti i isto će biti izvrsna pomoć za pripremu vlastitog GDPR-a.
Ono što smo upravo pronašli, te ono što je definitivno javno, je aplikacija za mobitel " GDPR na dlanu ". Možete je besplatno skinuti na svoj pametni telefon.

Što je GDPR?

GDPR je skraćenica od "General Data Protection Regulation". To je "Opća uredba o zaštiti osobnih podataka". Ovu uredbu od 25.05.2018. trebaju primijeniti sve zemlje članice Europske unije. VAŽNO: GDPR moraju primijeniti sva pravna i fizička tijela koja obrađuju osobne podatke fizičkih osoba. Dakle fizičkih osoba, GDPR se ne primjenjuje na bilateralne odnose dva pravna tijela.
Zakon o zaštiti osobnih podataka je dosta star, ne znamo točno kada je nastao kao takav, a nije ni bitno. Nova Uredba ne nosi sa sobom ništa epohalno novoga. I prije su svi trebali štiti osobne podatke pojedinaca, a mi ćemo dodati – mi vodimo 24 sata računa i o zaštiti podataka i pojedinaca, ali i tvrtki. GDPR ne znači da trebate odustati od prikupljanja osobnih podataka, tj. da ste odustajanjem riješili sve svoje probleme oko nastupajuće Uredbe. Nitko ne može raditi redovan posao, a da ne uzima svakodnevno nekakve podatke tipa ime, prezime, odgovornost na poslu, adresu tvrtke i slično (sve ionako piše na vizitkama J ). Treba zadovoljiti zahtjeve iz GDPR uredbe: dokumentirati kako se prikupljaju podaci, koji podaci se prikupljaju, kako ih nadgledate/kontrolirate, koji su izvori prikupljanja podataka, tko ima pravo ažuriranja prikupljenih podataka, te kako. Naravno, treba donijeti skup raznih protokola i zašto će se ti podaci koristiti...

Na koga se odnosi GDPR?

GDPR se odnosi na sva pravna i fizička lica koja prikupljaju osobne podatke iz nekog razloga. Mnogi nam kažu: "Pa mi ne radimo s fizičkim osobama, već samo sa pravnim!". Točno, isti je slučaj i s nama. Ali, naša tvrtka zapošljava 17 radnika i imamo evidenciju svojih sadašnjih i bivših radnika. Što je najvažnije od najvažnijeg, ti podaci se čuvaju trajno. Takvi podaci i te kako podliježu pod GDPR. Također, prikupljamo podatke o komercijalistima koji u jednom trenutku rade za našeg komitenta, ali u jednom trenutku prestaje njihov radni odnos u tvrtki koja je naš poslovni partner. Tanka je linija između toga da li smo prikupljali osobne podatke fizičke osobe ili ne?! Zbog toga, mi smo se odlučili uvesti protokole i oko prikupljanja podataka radnika naših poslovnih partnera.

Što je to osobni podatak?

Negdje smo pročitali definiciju a'la: "Osobni podatak je svaki podatak koji se odnose na pojedinca čiji je identitet utvrđen ili se na neki način može utvrditi nečiji identitet iz prikupljenih podataka". Možda je i najvažniji "detalj" GDPR-a upravo to da se na osnovu prikupljenih podataka neki pojedinac može identificirati iz prikupljenih podataka.
Kako bi bili još precizniji, razumljiviji: sve što se odnosi na neku fizičku osobu je njegov osobni podatak: ime i prezime, adresa, kontakt bilo koje vrste (broj telefona, broj satelitskog telefona, broj nečega što se još nije pojavilo u upotrebi J ), OIB, fotografija osobe! (vrlo važno), lokacija osobe, fiksna IP adresa s koje pristupa nekim uređajem (računalo, PAD, mobilni telefon...), broj cipela, grudnjaka, širina hlača, obim glave, koliko mu srce brzo kuca, koliko netko može pričati, a da ne udahne zrak... (netko bi pomislio da se šalimo, ali prikupljaju se i takvi podaci). Itd.

Neki pojmovi GDPR-a

Sljedeći pojmovi su sveprisutni u uredbi GDPR-a, pa nije loše da ih razjasnimo u početku:

•Ispitanik
ispitanik je fizička osoba čiji podaci se prikupljaju;

•Voditelj obrade
Voditelj obrade ili uvjetno rečeno vlasnik podataka je pravna ili fizička osoba koja prikuplja osobne podatka prethodne definicije, tj. Ispitanika. Te osobe su odgovorne za usklađenost i eventualna kršenja GDPR-a (čitajte - ovaj plaća kazne).

•Službenik za zaštitu osobnih podatka
Službenik za zaštitu osobnih podatka ili skraćeno po engleski DPO (Data Protection Officer) je osoba koju imenuje Voditelj obrade. Ta osoba je zadužena za kontrolu i usklađenost tvrtke prema GDPR-u;

•Izvršitelj obrade
Izvršitelj obrade može biti ista osoba koja je i Službenik za zaštitu osobnih podataka, ali može biti i tvrtka iz usluge koja obrađuje podatke za Voditelja obrade na osnovu ugovora o takvoj usluzi (čitajte – i dalje kazne plaća Voditelj obrade).

Treba li vaša tvrtka imenovati Službenika za zaštitu osobnih podataka, osobu službeno zaduženu za GDPR? Prema Uredbi morate Službenika za zaštitu osobnih podataka imati ako tvrtka:

•ima više od 20 zaposlenih i/ili

•u velikoj mjeri koristi i obrađuju osobne podatke i/ili (nama prilično tupava definicija Uredbe jer se postavlja pitanje što je "velika mjera" i gdje je tu granica. Čak i da je opisano, postavlja se pitanje granice...)

•radi opsežne obrade podataka ili pruža usluge smještaja podataka (hostinga) drugim tvrtkama.

Tko može biti Službenik za zaštitu osobnih podataka?

•Službenik za zaštitu osobnih podataka može biti zaposlenik Voditelja obrade (Službenikom za zaštitu osobnih podataka ne može biti imenovana osoba protiv koje se vodi postupak zbog povrede službene dužnosti, odnosno radne obveze, te kojoj je izrečena mjera povrede normi etičkog kodeksa i drugih pravila ponašanja donesenih od strane poslodavca);

•Službenik za zaštitu osobnih podataka može biti certificirana osoba izvan tvrtke, odnosno tvrtka koja se bavi takvim poslom.

Što svaka tvrtka mora pripremiti, dokumentirati i kontrolirati vezano uz GDPR?

U biti, sve se svodi na unaprijed definirane interne protokole i mogućnost dokazivanja da se protokoli izvršavaju i kontroliraju. Ako jednog dana dobijete nadzor ili se nađete na sudu zbog GDPR-a, morat ćete:

•biti u mogućnosti dokazati svoju pouzdanost i odgovornost u vezi osobnih podataka;

•biti u mogućnosti dokazati da se obrada osobnih podataka obavlja u ograničene svrhe, s najmanjim mogućim obimom. Drugim riječima, te po nama - što manje, to bolje...;

•u nekom registratoru imati evidentirano koje sve osobne podatke fizičkih osoba pratite u svojim poslovnim sustavima, koja je namjena i potreba za praćenjem tih podataka. Važno je napomenuti da pojedine sfere ove evidencije su bitno kompliciranije od nekih drugih. Na primjer, ako imate video nadzor, za isto se trebate dobrano potruditi da se video snimka ne može zloupotrebiti. Također, važno je napomenuti da se zakonske obaveze ne podrazumijevaju. Ako vodite plaće radnika, u registratoru mora biti navedeno da vodite plaće, koje podatke, kome, itd. I mi smo na početku smatrali da se neke zakonske obaveze podrazumijevaju. Ali, izgleda da smo u krivu...;

•imati registrator privola Ispitanika za korištenje njegovih osobnih podataka (u ovom dijelu se opet otvara Pandorina kutija što je to zakonska obaveza i podrazumijeva li se ili ne);

•imati registrator tko kontrolira osobne podatke;

•imati registrator koji definira kakva su prava pristupa osobnim podacima fizičkih osoba;

•imati definiran i omogućen postupak trajnog brisanja dijela podataka (ako je moguće jer nekada neće biti moguće brisati podatke zbog Zakona) ili na neki način anonimizaciju podataka. Anonimizacija točno znači da se iz postojećih podataka ne može "iščitati" o kojoj fizičkoj osobi se točno radi bez obzira na to što postoji čitav set osobnih podataka;

•registrator definiranih protokola;

•imati definirano kako pratiti sljedivost postupanja kod zahtjeva Ispitanika za uvid u svoje osobne podatke i kod zahtjeva za brisanjem osobnih podataka.

Svaka fizička osoba može inzistirati na naknadnom brisanju njihovih osobnih podataka. Nekada će obveznik moći brisati podatke na zahtjev, a nekada ne. Želimo spomenuti da, po našem skromnom mišljenju, postoji čitav niz nelogičnosti između Uredbe i trenutnih hrvatskih zakona. Ali, u Uredbi jasno piše da su nacionalni zakoni iznad Uredbe. Postupanje kod zaprimljenog zahtjeva Ispitanika za brisanjem njegovih podataka se može opisati u nekoliko koraka:

•ako postoji osnova za čuvanje pojedinih osobnih podataka, tada je isto potrebno dokumentirati Ispitaniku. Ispitanik može podnijeti zahtjev za brisanjem;

•obaveza je obrisati podatke, u slučajevima gdje je to moguće;

•anonimizirati podatke gdje nije moguće brisanje. Ako je moguće isto anonimizirati! Jedan od slučajeva koji nas zbunjuju je račun za automobile koji kupuju fizičke osobe. Ne može Ispitanik doći s računom na kojem će umjesto njegovog imena i prezimena pisati "####(123456)" jer je netko u tom obliku anonimizirao podatak. Nakon anonimizacije, gdje je isto moguće, ne smije biti moguće identificirati o kojoj je osobi riječ te se mora pismeno obrazložiti zbog čega se podaci ne mogu brisati, već se anonimiziraju;

•trebalo bi se dokumentirati cijeli slijed događaja: od zahtjeva do krajnjih odgovora koje ste dali Ispitaniku. Drugim riječima, sve i jedan proces kojeg ste napravili prema Ispitaniku, najbolje je opisati pisanim putem.

Koja su prava i uloga Ispitanika?

•Ispitanik ima pravo u bilo kojem trenutku biti informiran o svojim osobnim podacima koji Voditelj obrade pohranjuje u svom sustavu;

•Ispitanik ima pravo u bilo kojem trenutku zahtijevati brisanje osobnih podataka;

•Ispitanik ima pravo u bilo kojem trenutku pokrenuti postupak pred sudovima i/ili nadležnim tijelima ako smatra da GDPR nije ispoštovan u njegovom slučaju.

Propisane kazne kod kršenja GDPR-a

Nismo mogli iščitati, a nismo mogli od mjerodavnih niti dobiti informaciju, da li će mjerodavni prvo upozoriti Voditelja obrade ili će odmah kažnjavati. Nadamo se da će nadzor prvo upozoravati. Kazne su "lepršavo" definirane, a najviša moguća kazna je 4% od ukupnog prometa Voditelja obrade. Voditelj obrade je odgovoran kod svih kršenja GDPR-a, čak i ako kršenje radi Službenik za zaštitu osobnih podatka, Izvršitelj obrade ili bilo koji radnik Voditelja obrade. Drugim riječima, za sve je kriva tvrtka i odgovorni u tvrtki.
Shodno prethodnom paragrafu, postavlja se pitanje može li se na određeni način urediti međusobni odnos između Voditelja obrade i svih ostalih koji mogu biti krivi za svašta nešto, a "penale" na kraju plaća Voditelj obrade. Ne znamo što napisati o ovom. Voditelj obrade jednostavno treba biti izvrsno upoznat s GDPR-om. Voditelj obrade mora organizirati kvalitetno informiranje, prikupljanje, čuvanje, obradu i eventualnu distribuciju osobnih podataka fizičkih osoba. Treba se ograditi ugovorima koliko god je isto moguće, ali da li se može "oprati" od odgovornosti u potpunosti – mišljenja smo da ne može. Svi trebaju junački zasukati rukave i pripremiti procese vezano za GDPR. Mi bi napisali da se u biti i ne radi o nekom velikom problemu. Ako se bilo tko prema podacima ponašao normalno, onako kako treba i dolikuje, kao dobar gospodar,... ništa se posebno neće promijeniti u njihovim životima, osim što redovan rad i odnos prema podacima treba dokumentirati na određeni način.
A smatramo da je tema oko eventualnog kažnjavanja slična temi oko poreznog savjetovanja. Ako neka tvrtka koristi usluge od države certificiranog poreznog savjetnika, ako se djelovanje tvrtke bazira na pisanim uputama poreznog savjetnika, te ako porezni nadzor smatra da je tvrtka napravila porezni prekršaj, neće kažnjavati poreznog savjetnika nego tvrtku. Tvrtka može potraživati sredstva koja je utrošila na porezno kažnjavanje od poreznog savjetnika, te najvjerojatnije ishoditi ista ako je postupala po pisanim savjetima poreznog savjetnika. Ako dođe do bilo kakvih problema u namirivanju tih troškova, može se ići na sud s poreznim savjetnikom i putem suda pokušati namiriti troškove. Ali nikada se tvrtka neće moći dogovarati oko bilo čega s državom. Da bi dodatno dočarali problematiku kažnjavanja, napisat ćemo da su porezni savjetnici uobičajeno osigurani od prethodno opisanih situacija. Tako da bi se moglo desiti da se tvrtka namiri od poreznog savjetnika, a porezni savjetnik se namiri od osiguravajuće kuće. Ali, nitko nije osiguran od gluposti. Pa tako je i s GDPR-om: ako Voditelj obrade zna što radi, drži se Uredbe i pripadajućih zakona, lakše će se obraniti od eventualnog kažnjavanja. Što mi vidimo kao problem? Pa razgovaramo učestalo oko GDPR-a s našim korisnicima. U 90% slučajeva naši korisnici nikad čuli za GDPR, a ako su eventualno čuli, nisu ništa poduzeli oko bilo čega (čast izuzecima). Ogromna većina misli: "Ma to će sve riješiti 4D Wand (ili barem netko drugi)...". Jako su u krivu...

Da bi još dodatno pojasnili situaciju oko GDPR, pretpostavimo sljedeće:

•uzmimo za primjer 5 tvrtki koje se bave istim poslom (ne sličnim, istim). Recimo, prodaju cipele;

•neka u tom primjeru svih 5 tvrtki imaju isti broj zaposlenih, imaju isti broj dućana, imaju istovjetan promet, neto zaradu, sve je hipotetski istovjetno kod svih.

Tih 5 tvrtki može se odlučiti za 5 različitih protokola i ispuniti svaku točku GDPR-a na 5 različitih načina. I svi su u pravu. Dakle, ne postoji jedinstveni šablon kako ispuniti formu i ispuniti uvjete Uredbe o GDPR-u. Naravno, tih 5 tvrtki mogu po istom šablonu urediti svoje poslovanje, te jednako biti u pravu pred nadzorom. Ovim dijelom želimo naznačiti da je GDPR osobna stvar svakog pojedinog Voditelja obrade, pod uvjetom da su ispunjeni uvjeti Uredbe.
Sve u svemu, Voditelj obrade može dogovoriti s drugim pravnim tijelom da mu vodi cjelokupnu priču oko GDPR-a, ali ako dođe do kazne – kaznu plaća Voditelj obrade, a eventualno Voditelj obrade može potraživati utrošena sredstva od tvrtke koja im je posao oko GDPR-a vodila. Hmmm... hmmm..., kašljuc, kašljuc... Nekako smo sigurni da se Voditelj obrade treba jako potruditi oko GDPR-a, želio on to ili ne. Taktika tipa "brigo moja pređi na drugoga..." u slučaju GDPR-a mogla bi jako koštati...
Nadamo da smo pomogli oko svega. Kao i u uvodu, pozivamo sve korisnike da nam pošalju mudre sugestije . Nemojte nam trošiti vrijeme uludo jer istog doista nemamo viška. Eventualne sugestije trebaju biti zasnovane na Uredbi i Zakonu, ne na nečijim idejama ili paušalnim zaključcima i nečijim osobnim tvrdnjama. Nemojte zaboraviti da u Uredbi jasno piše da su nacionalni zakoni iznad Uredbe...